（给Python开发者加星标，提升Python技能）

划重点：

SQL注入 + 爬虫非法获取 1500 万余条个人信息，倒卖获利 54 万

这是2020 年 4 月二审宣判的一个刑事案件。

2018 年 1 月至 7 月期间，被告人呙某某通过 SQL 注入漏洞以及编写爬虫脚本的方式，侵入计算机信息系统，获取计算机系统内存储的大量数据，其中涉及到公民个人信息的数量约为1500万余条，该将其获取的个人信息通过QQ销售给“Versace”、“同花顺”、“FF”、“糖果”等人，从中获利约 54 万余元。

一审法院以非法获取计算机信息系统数据罪，判处被告人呙某某有期徒刑 5 年，并处罚金人民币 2 万元。对被告人呙某某违法所得人民币 54 万元依法予以追缴或责令退赔。

一审结果出来后，呙某某提出上诉。其主要上由及其辩护人的主要辩护意见是，

编写爬虫脚本获取计算机信息系统数据的行为不具有违法性，采用此手段获取的信息数量及对应的犯罪数额应当扣除；一审判决认定呙某某非法获取的个人信息数量错误，对应的犯罪数额应予扣除。

二审法院（青岛市中级人民法院）认为，

原审判决认定上诉人呙某某犯非法获取计算机信息系统数据罪的事实清楚，证据确实、充分，定性准确，量刑适当，审判程序合法。关于上诉人呙某某及其辩护人所提呙某某编写爬虫脚本获取计算机信息系统数据的行为不具有违法性，采用此手段获取的信息数量及对应的犯罪数额应当扣除的上诉理由及辩护意见，经查，上诉人呙某某未经网站授权，利用特定网站的漏洞，通过编写爬虫脚本入侵特定网站的方式，批量获取计算机信息系统中公民信息数据并用于出售。该采取的技术手段具有非法性，用该手段获取的信息数量及对应的犯罪数额均不应扣除。该上诉理由及辩护意见不成立，不予采纳。

二审驳回上诉，维持原判，并且是终审裁定。

案件划重点

利用漏洞搞 SQL 注入攻击、非授权获取公民信息并倒卖，都是非法的。

相关知识

《信息安全技术个人信息安全规范》，2018 年 5 月 1 日起正式实施，其中对「个人信息」和「个人敏感信息」早有明确说明：

【个人信息】以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。

包括：姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等；

【个人敏感信息】一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。

包括：身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下（含）儿童的个人信息等。

此外，《规范》也对个人信息使用做出明确规定，如当直接收集用户个人信息时，需要有明确个人授权；而当间接收取个人信息，应了解个人信息提供方已获得的个人信息处理的授权同意范围，包括使用目的，个人信息主体是否授权同意转让、共享、公开披露等。

觉得本文对你有帮助？请分享给更多人

关注「Python开发者」加星标，提升Python技能

好文章，我在看❤️